نحوه راه اندازی کنترلرهای سیسکو SD-WAN
سیسکو SD-WAN
شرکت سیسکو با ارایه راهکار SD-WAN خود باعث کاهش هزینههای عملیاتی و نگهداری شبکه WAN توسط سازمانها شده است. این راهکار به طور کلی 4 حوزه اصلی مربوط به زیرساخت WAN یعنی Data Plane, Control Plane, Management Plane و Orchestration Plane را به صورت کامل پوشش میدهد.
ساختار سیسکو SD-WAN
فرآیند کار سیسکو SD-WAN
ساختار و نحوه کار vSamrt یا Control Plane
در شبکه Cisco SD-WAN، وظیفه اجرای سیاستها مانند سایر شبکههای SDN برعهده یک کنترولر مرکزی میباشد. در ساختار SD-WAN شرکت سیسکو این کنترلر vSmart نام دارد. شما می توانید از یک یا دو و حتی سه کنترولر در داخل یک Cluster استفاده کنید. در واقع vSmart وظیفه اجرای سیاستهایی مانند مهندسی ترافیک و تقسیم بندیها بر اساس توپولوژی VPN را برعهده دارد. Vsmart ها ضمن کاهش پیچیدگیهای درون شبکه، همگام سازی اتصالات میان تمام WAN edgeها را نیز مدیریت و کنترل میکنند. در اصل vSmart با استفاده از بستههای OMP سیاستها را به سمت v-edeg ها ارسال میکند.
ساختار و نحوه کار Vedge یا Data Plane
Vedge ها بصورت فیزیکی یا مجازی در لبه شبکه مربوط به شعب، مراکز داده، سایتهای ریموت و دفتر مرکزی قرار میگیرند و از این طریق یک Data Plane امن در شبکه SD-WAN ایجاد میکنند. همگامسازی امن Control Plane از طریق ارتباط با کنترلکنندگان vSmart و اجرای سیاستهای مسیریابی برنامههای کاربردی و Data Plane بر عهده vEdgeها میباشد.
ساختار و نحوه کار vManage یا Management Plane
این کامپوننت در واقع یک سرور مدیریتی شبکه یا NMS است که وظیفه مدیریت، نظارت، مانیتورینگ و اعمال تغییرات پیکربندی در شبکه SD-WAN را با به صورت متمرکز برعهده دارد. بعد از نصب vmanage و تنظیمات اولیه، این تجهیز یک کنسول تحت وب ارایه میدهد که میتوانیم از طریق آن نودهای مربوط به زیرساخت SD-WAN خود را مدیریت و پایش نماییم. علاوه بر رابط گرافیکی، vManage از CLI برای ارائه ویژگی لازم جهت یکپارچه شدن با لایه Orchestration Plane استفاده میکند. ما میتوانیم با استفاده از محیط GUI موارد زیر را پایش و بررسی نماییم.
- وضعیت کامپوننتهای اصلی Cisco SD-WAN
- وضعیت ارتباطات بین سایتها یا branchها
- وضعیت Control Plane شبکه
- وضعیت WAN Edgeها
- وضعیت پهنای باند مصرفی لینکهای ارتباطی
- وضعیت مسیریابی مبتنی بر اپلیکیشنها و لینک های ارتباطی
- وضعیت Certificate ها
ساختار و نحوه عملکرد vBond یا Orchastaion plane
این کامپوننت همانند رهبر ارکست میباشد که در واقع ارتباط بین 3 لایه اصلی SD-WAN یعنی Data Plane، Control Plane و Management Plane را برعهده دارد. vBond اولین نقطه احراز هویت بوده و مجوز تمامی ارتباطات کنترلی را از طریق whitelist صادر میکند. علاوه براین vBond وظیفه load balance کردن ارتباطات Control Plane، ارائه نیازمندهای لازم برای NAT و کنترل/مدیریت اطلاعات توزیع شده را نیز برعهده دارد. زمانیکه یک روتر در حالت unconfigured برای اولین بار boot میشود، vBond مسئولیت onboarding این device را در فبریک SD-WAN برعهده دارد. به عبارت دیگر یکی از کارهای vBond این است که از چگونگی ساختار شبکه اطلاع پیدا کرده و سپس این اطلاعات را در بین سایر کامپوننتها به اشتراک بگذارد
نحوه اضافه کردن Image های سیسکو SD-WAN در محیط eve-ng
برای اضافه کردن image های SD-WAN در eve-ng مراحل زیر را به ترتیب انجام میدهیم.
مرحله اول
با استفاده از برنامه winscp یا mobaxterm به eve متصل شده و فایلهای مربوط به Image های SD-WAN را مطابق شکل زیر در مسیر مورد نظر کپی مینماییم. توجه کنید که اسم دایرکتوریها در مسیر /opt/unetlab/addons/qemu/ بایستی دقیقا مطابق شکل زیر باشند.
گام دوم
بعد از اضافه کردن و ساختن فایلها مجددا در محیط cli با استفاده از دستور زیر یک هارد 100 گیگی برای vManage ایجاد میکنیم. در واقع vManage از این فضا برای ذخیره سازی دادههای مربوط به تنظیمات SD-WAN استفاده میکند.
root@eve-ng:~# cd /opt/unetlab/addons/qemu/vtmgmt-20.3.2
root@eve-ng:/opt/unetlab/addons/qemu/vtmgmt-20.3.2# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G
گام سوم
برای اینکه Image های اضافه شده در مسیر بالا توسط Eve-ng قابل شناسایی شوند در پایان دستور زیر را اجرا مینماییم.
root@eve-ng:~# /opt/unetlab/wrappers/unl_wrapper –a fixpermissions
بعد از اجرای دستورات بالا میتوانیم با استفاده از محیط کنسول وب eve-ng و گزینه add a node، از تجهیزات viptela در سناریو خود استفاده کنیم. حتما به این نکته توجه داشته باشید که برای استفاده از دستگاههای Viptela بایستی از آخرین ورژن eve استفاده کنید.
نصب و تنطیمات vManage بر روی eve-ng
برای انجام تنظیمات مربوط به Vmanage ابتدا از منوی مربوط به نودها، Viptela vManage را انتخاب میکنیم و برای انجام تنظیمات، ماشین مربوط به vManage را روشن میکنیم.
گام اول
ابتدا نام کاربری و پسورد پیشفرض vManage که مقدار admin میباشد را وارد میکنیم. طبق عکس زیر بعد از لاگین ابتدا هارد دوم را که در مراحل بالا تعریف کردهایم، انتخاب میکنیم.
گام دوم
در این مرحله بایستی تنظیمات مربوط به VPN 0 برای ارتباطات فبریک، VPN512 برای ارتباطات Management و تنظیمات مربوط به System را انجام دهیم.
vManage# conf t
vManage(config)# vpn 0
vManage(config-vpn-0)# interface eth1
vManage(config-interface-eth1)# ip address 172.16.31.2/24
vManage(config-interface-eth1)# no shutdown
vManage(config-interface-eth1)# tunnel-interface
vManage(config-tunnel-interface)# color mpls
vManage(config-tunnel-interface)# allow-service all
vManage(config)# vpn 512
vManage(config-vpn-512)# interface eth0
vManage(config-interface-eth0)# ip address 192.168.21.80/24
vManage(config-interface-eth0)# no shutdown
vManage(config)# system
vManage(config-system)# host-name vManage
vedge(config-system)# site-id 1
vManage(config-system)# system-ip 1.1.1.1
vManage(config-system)# organization-name iranshell
vManage(config-system)# clock timezone Asia/Tehran
vManage(config-system)# vbond 172.16.30.2
گام سوم
در این مرحله با استفاده از آدرس 192.168.21.80 به کنسول وب vManage وصل شده و تنظیمات زیر را به ترتیب انجام میدهیم.
از منوی سمت چپ وارد قسمت Administration شده و تنظیمات مربوط به Organization name، آدرس vBond و گواهی مربوط به Controller Certificate Authorisation را انجام میدهیم.
بعد از آپلود گواهی مربوط به CA Server، وارد قسمت Configuration شده و گزینه Certificate را انتخاب میکنیم. در این قسمت بایستی برای کنترلر vManage خود یک گواهی معتبر از CA Server دریافت و نصب نماییم. برای این کار ابتدا یک درخواست CSR ایجاد و با استفاده از آن یک گواهی از CA Server دریافت و نصب میکنیم.
در اینجا کار نصب vManage به اتمام رسیده و در ادامه نصب vBond را شروع میکنیم
نصب و تنطیمات vBond بر روی eve-ng
برای انجام تنظیمات مربوط به VBond همانند vManage ابتدا از منوی مربوط به نودها، Viptela vBond را انتخاب و برای انجام تنظیمات، ماشین مربوط به vBond را روشن میکنیم.
برای انجام تنظیمات vBond تنظیمات مشابه گام دوم مربوط به تنظیمات vManage را برای vBond نیز انجام میدهیم.
vedge# conf t
vedge(config)# vpn 0
vedge(config-vpn-0)# interface ge0/0
vedge(config-interface-ge0/0)# ip address 172.16.31.2/24
vedge(config-interface-ge0/0)# no shutdown
vedge(config-interface-ge0/0)# tunnel-interface
vedge(config-tunnel-interface)# color mpls
vedge(config-tunnel-interface)# encapsulation ipsec
vedge(config-tunnel-interface)# allow-service all
vedge(config)# vpn 512
vedge(config-vpn-512)# interface eth0
vedge(config-interface-eth0)# ip address 192.168.21.81/24
vedge(config-interface-eth0)# no shutdown
vedge(config)# system
vedge(config-system)# host-name vBond
vedge(config-system)# site-id 1
vedge(config-system)# system-ip 2.2.2.2
vedge(config-system)# organization-name iranshell
vedge(config-system)# clock timezone Asia/Tehran
vedge(config-system)# vbond 172.16.30.2 local
در ادامه وارد کنسول وب مربوط به vManage شده و در منوی Configuration گزینه Device را انتخاب میکنیم. در سربرگ مربوط به Controller گزینه Add Controller را زده و یک vBond اضافه میکنیم. بعد از اضافه شدن vBond همانند vManage یک درخواست CSR برای vBond ایجاد و با استفاده از آن یک گواهی معتبر از CA server برای آن میگیریم. در ادامه Certificate را از طریق vManage به vBond اضافه میکنیم.
نصب و تنطیمات vSmart بر روی eve-ng
همانند دو کنترلر قبلی Vsmart را روشن و با نام کاربری و پسورد پیشفرض Admin وارد میشویم. بر روی vSmart نیز VPN 0 و VPN 512 و system را کانفیگ میکنیم.
vSmart# conf t
vSmart(config)# vpn 0
vSmart(config-vpn-0)# interface eth1
vSmart(config-interface-eth1)# ip address 172.16.32.2/24
vSmart(config-interface-eth1)# no shutdown
vSmart(config-interface-eth1)# tunnel-interface
vSmart(config-tunnel-interface)# color mpls
vSmart(config-tunnel-interface)# allow-service all
vSmart(config)# vpn 512
vSmart(config-vpn-512)# interface eth0
vSmart(config-interface-eth0)# ip address 192.168.21.82/24
vSmart(config-interface-eth0)# no shutdown
vSmart(config)# system
vSmart(config-system)# host-name vSmart
vedge(config-system)# site-id 1
vSmart(config-system)# system-ip 3.3.3.3
vSmart(config-system)# organization-name iranshell
vSmart(config-system)# clock timezone Asia/Tehran
vSmart(config-system)# vbond 172.16.30.2
در ادامه وارد کنسول وب مربوط به vManage شده و در منوی Configuration گزینه Device را انتخاب میکنیم. در سربرگ مربوط به Controller گزینه Add Controller را زده و یک vSmart اضافه میکنیم. بعد از اضافه شدن vSmart همانند vManage و vBond یک درخواست CSR برای vSmart ایجاد و با استفاده از آن یک گواهی معتبر از CA server برای آن میگیریم. در ادامه certificate را از طریق vManage به vSamrt اضافه میکنیم.
نصب و تنطیمات vBond بر روی eve-ng
در فرآیند نصب کنترلرهای مربوط به SD-WAN، اضافه کردن vedge ها با بقیه کمی فرق میکند. برای اضافه کردن vedge ها ابتدا باید smart account خود که برای fabric از سایت سیسکو دریافت کردهایم را در vManage اضافه کنیم. برای این کار وارد محیط vManage شده در قسمت Configuration، سربرگ Wan Edge List، گزینه Upload Wan Edge List را زده و فایلی که از سایت سیسکو به اسم serialFile.viptela دریافت کردهایم را آپلود میکنیم.
لیست سریالهای بعد از آپلود
طبق تصویر زیر، در ادامه میتوانیم Wan Edge های خود را با سریالهای زیر در fabric اضافه کنیم.
همانند کنترلرهای قبلی با نام کاربری و پسورد پیشفرض Admin بر روی vedge ها میکنیم. و بر روی آنها نیز VPN 0 و VPN 512 و system را کانفیگ میکنیم.
در اینجا از طریق یکی از برنامههای Winscp یا Mobaxterm به vedge از طریق آدرس VPN 512 متصل شده و گواهی CA server را در مسیر Home/admin قرار میدهیم. در ادامه با استفاده از دستور زیر گواهی مربوط به CA Server را بر روی vedge نصب میکنیم.
V-edge-7# request- root-cert-chain install /home/admin/CA-ROOT.cer
همانند کنترلرهای قبلی با استفاده از دستور زیر بر روی vedge یک درخواست CSR ایجاد میکنیم. سپس از طریق آن یک گواهی معتبر از CA Server برای vedge دریافت مینماییم.
V-edge-7# request csr upload /home/admin/v-edge-7
گواهی را بعد از Upload با استفاده از دستور زیر بر روی vedge نصب میکنیم.
V-edge-7# request certificate install /home/admin/v-edge-7.cer
بعد از نصب موفقیت آمیز گواهی برای فعال کردن vedge بر روی ابر دستور زیر را بر روی آن اجرا میکنیم. در اینجا به ترتیب از Chassis-number و token هایی که در بالا در vManage اضافه کردیم برای تکمیل فرآیند اضافه کردن vedge استفاده میکنیم.
V-edge-7# request vedge-cloud activate
مراحل بالا را برای همه vedge ها انجام میهیم. همانطور که در عکس زیر مشخص است همه اجزای SD-WAN به درستی اضافه شده و در کنسول vManage قابل مشاهده میباشند.